[GELÖST] LDAPS-Authentifizierungsproblem

Fragen zum WAPT-Server / Anfragen und Hilfe im Zusammenhang mit dem WAPT-Server
Forumregeln
Community-Forumregeln
* Englischer Support auf www.reddit.com/r/wapt
* Französischer Community-Support ist in diesem Forum verfügbar.
* Bitte kennzeichnen Sie gelöste Themen mit [GELÖST].
* Bitte bearbeiten Sie keine Themen, die mit [GELÖST] markiert sind. Erstellen Sie stattdessen ein neues Thema und verweisen Sie auf das alte.
* Geben Sie die installierte WAPT-Version, die vollständige Versionsnummer und die Build-Nummer (2.2.1.11957 / 2.2.2.12337 / usw.) sowie die Enterprise-/Discovery-Edition an.
* Versionen 1.8.2 und älter werden nicht mehr unterstützt. Fragen zu Version 1.8.2 werden nur beantwortet, wenn sie sich auf ein Upgrade auf eine unterstützte Version (2.1, 2.2 usw.) beziehen.
* Geben Sie das Server-Betriebssystem (Linux/Windows) und die Version (Debian Buster/Bullseye – CentOS 7 – Windows Server 2012/2016/2019) an.
* Geben Sie gegebenenfalls das Betriebssystem des Administrations-/Paketerstellungsrechners und des Rechners mit dem problematischen Agenten an (Windows 7/10/11/Debian 11/etc.).
* Vermeiden Sie es, mehrere Fragen in einem Thema zu stellen, da diese sonst möglicherweise ignoriert werden. Falls mehrere Themen relevant sind, erstellen Sie bitte separate Themen, vorzugsweise nacheinander und nicht gleichzeitig (d. h. vermeiden Sie Spam im Forum).
* Fügen Sie Code-Snippets, Screenshots und andere Bilder direkt in Ihren Beitrag ein. Links zu Pastebin, Bitly und anderen Drittanbieterseiten werden systematisch entfernt.
* Wie in jedem Community-Forum erfolgt die Unterstützung freiwillig durch die Mitglieder. Für kommerziellen Support kontaktieren Sie bitte den Vertrieb von Tranquil IT unter +44 2 40 97 57 55.
Gesperrt
Houg
Nachrichten: 7
Anmeldung: 2. Juli 2020 – 9:59 Uhr

2. Juli 2020 - 10:18 Uhr

Hallo zusammen.
Für den Wechsel zu wapt enterprise konfiguriere ich derzeit unseren neuen Server (auf Debian).
Jetzt fehlt mir nur noch die Konsolenauthentifizierung mit LdapS.
Und genau da hänge ich fest… Ich habe die Anweisungen exakt befolgt…

Authentifizierung mit lokaler Sitzung: OK
LDAP-Authentifizierung (nicht S): OK (die Verbindungsanfrage ist auf dem AD-Server deutlich sichtbar)
LDAP-Authentifizierung: funktioniert nicht => Es liegt jedoch keine Verbindungsanfrage auf dem AD-Server vor.
Auf AD ist das Zertifikat jedoch korrekt bei einer bekannten Zertifizierungsstelle installiert.
Sicherheitshalber habe ich diese Berechtigung dem WAPT-Server hinzugefügt. Keine Änderungen…:

Code: Alle auswählen

sudo cp TERENACA.crt /usr/local/share/ca-certificates
sudo update-ca-certificates
Eine Telnet-Verbindung über Port 636 (ldapS) von meinem wapt-Server zu meinem AD-Server funktioniert.
(Das erinnert mich übrigens daran, dass in der Dokumentation steht, der Standard-LdapS-Port sei 646, tatsächlich ist er aber 636.) :D )

Hier ist meine waptserver.ini (anonymisiert):
[options]
waptwua_folder = /var/www/waptwua
server_uuid = XXXXXXXXXXX
clients_signing_key = XXXXXXXXXXX
clients_signing_certificate = XXXXXXXXXXX
wapt_password = XXXXXXXXXXX
allow_unauthenticated_connect = False
secret_key = XXXXXXXXXXX
use_kerberos = True
wapt_huey_db = /opt/wapt/db/waptservertasks.sqlite

wapt_admin_group_dn=CN=group,CN=Users,DC=mydomain,DC=fr
ldap_auth_server=myserver.mydomain.fr
ldap_auth_base_dn=OU=mygroup,DC=mydomain,DC=fr
ldap_auth_ssl_enabled=True


Hier ist das Ergebnis von /opt/wapt/runwaptserver.sh -ldebug während der Identifizierung:
2020-07-02 10:08:45,001 [waptserver ] DEBUG (3174) akzeptiert ('127.0.0.1', 59294)
2020-07-02 10:08:45,002 [root ] DEBUG Verwende monserver.mondomaine.fr als LDAP-Authentifizierungsserver
2020-07-02 10:08:45,003 [root ] DEBUG Verwende OU=mongroup,DC=mondomaine,DC=fr als Basis-DN
2020-07-02 10:08:45,003 [root ] DEBUG Verwende DC monserver.mondomaine.fr für die Authentifizierung, mit Basis-DN OU=mongroup,DC=mondomaine,DC=fr und Bind-Benutzername monlogin@mondomaine.fr
2020-07-02 10:08:45,003 [root ] DEBUG LDAPS wird zur Authentifizierung verwendet
2020-07-02 10:08:45,012 [waptserver ] INFO ip.de.mon.AD,127.0.0.1 - - [02/Jul/2020 10:08:45] "POST /api/v3/login HTTP/1.0" 401 324 0.009679
2020-07-02 10:08:47,625 [waptserver ] INFO wsgi wird beendet
2020-07-02 10:08:47,625 [waptserver ] INFO (3174) wsgi beendet, is_accepting=True
2020-07-02 10:08:47,625 [waptserver ] INFO Waptserver gestoppt
Nun ja... ich bin zwar kein Experte für Protokolldateien, aber in diesem Fall sehe ich nichts...
Die Konsole verbindet sich nicht.

Dank im Voraus !!
Hoch
Benutzeravatar
Sfonteneau
WAPT-Experte
Nachrichten: 2322
Registriert: 10. Juli 2014 - 23:52 Uhr
Kontakt:
Kontaktieren Sie Sfonteneau

2. Juli 2020 – 17:10 Uhr

Sie können einen Test wie diesen durchführen:

Code: Alle auswählen

apt install ldap-utils
ldapsearch -x -H ldap://srvads.mydomain.lan -Z -D sfonteneau@mydomain.lan -b dc=mydomain,dc=lan -W
Dies ermöglicht es Ihnen, einen Test durchzuführen, ohne den Umweg über Wapt zu gehen.

Nach der Bestellung

Code: Alle auswählen

sudo update-ca-certificates
Ihr Zertifikat sollte sich im Verzeichnis /etc/ssl/certs befinden.
Hoch
Houg
Nachrichten: 7
Anmeldung: 2. Juli 2020 – 9:59 Uhr

3. Juli 2020 - 8:32 Uhr

Guten Morgen,

Wie im Beitrag beschrieben, funktioniert die LDAP-Verbindung... Ich habe verschiedene ldapsearch-Parameter getestet, bevor ich im Forum gepostet habe (das hatte ich vergessen zu erwähnen).
Diese Leitung ist also funktionsfähig (eine kleine Abweichung, um den angegebenen Port deutlich zu zeigen):
ldapsearch -x -h srvads.mydomain.lan -Z -D sfonteneau@mydomain.lan -p 389 -b dc=mydomain,dc=lan -W
Geben Sie das LDAP-Passwort ein:
[...]
# Suchergebnis
Suche: 3
Ergebnis: 4 Größenbeschränkung überschritten
[...]

Wenn ich jedoch Port 636 angebe, ist es nicht mehr dasselbe.
ldapsearch -x -h srvads.mydomain.lan -Z -D sfonteneau@mydomain.lan -p 636 -b dc=mydomain,dc=lan -W
ldap_start_tls: LDAP-Server nicht erreichbar (-1)
LDAP-Passwort eingeben:
ldap_sasl_bind(SIMPLE): LDAP-Server nicht erreichbar (-1)
Ich möchte darauf hinweisen, dass LdapS auf AD funktioniert => Telnet auf Port 636 funktioniert + das Tool ldp.exe von Microsoft (über einen anderen Server) funktioniert ebenfalls.

Bezüglich des Zertifikats: Ja, es ist tatsächlich in /etc/ssl/certs verfügbar. Es handelt sich außerdem um eine öffentliche Zertifizierungsstelle, die daher standardmäßig bereits vorhanden ist.



NACHTRAG: Problem gelöst, oder besser gesagt umgangen => Ich habe ein anderes Active Directory angegeben und es funktioniert....
Hoch
Gesperrt

Zurück zum "WAPT-Server"


  • Um mit WAPT weiterzukommen